[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security/2006/dsa-1185.wml

æ‰å±±ã§ã™ã€‚

On Thu, 12 Oct 2006 02:16:47 +0900, SUGIYAMA Tomoaki wrote:
> security/2006/dsa-1185.wml[1] ã®æ—¥æœ¬èªžè¨³ç‰ˆã‚’ debian-users:47338[2] ã®
> ã‹ã­ã“ã•ã‚“訳をå‚考ã«ä½œæ¥­ã—ã¾ã—ãŸã€‚査読をãŠé¡˜ã„ã—ã¾ã™ã€‚
 (snip)
> #ã‚ã,ã—ã‹ã— DSA-1185-2[3] ã¨ã„ã†ã®ãŒã‚ã‚‹ã‚“ã§ã™ã­ã€‚
> #原文を更新ã—ãªã‘ã‚Œã°é§„ç›®ãªã®ã‹ã‚‚。

dsa-1185-2 ã«æ›´æ–°ã—ã¦ã‚‚らã„ã¾ã—ãŸã®ã§ï¼Œã“ã¡ã‚‰ã®æ–¹ã®æŸ»èª­ã‚’ãŠé¡˜ã„ã—ã¾ã™ã€‚

1. http://www.debian.org/security/2006/dsa-1185.en.html
2. http://lists.debian.or.jp/debian-users/200609/msg00160.html
3. http://lists.debian.or.jp/debian-users/200610/msg00030.html

------------------------------------------------------------------
#use wml::debian::translation-check translation="1.3"
<define-tag description>サービスä¸èƒ½ (DoS) 攻撃</define-tag>
<define-tag moreinfo>
<p>CVE-2006-2940 ã®ä¿®æ­£ã§ã€
åˆæœŸåŒ–ã—ã¦ã„ãªã„メモリをå‚ç…§ã™ã‚‹ã‚³ãƒ¼ãƒ‰ã‚’å–り込んã§ã—ã¾ã„ã¾ã—ãŸã€‚
ã“ã®ã‚ˆã†ãªå‡¦ç†ã¯ã€openssl
ライブラリを利用ã™ã‚‹ã‚¢ãƒ—リケーションをクラッシュã•ã›ã‚‹ã‹ã‚‚ã—ã‚Œãšã€
ã•ã‚‰ã«æ”»æ’ƒè€…ãŒä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã™ã‚‹è¦å› ã¨ãªã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚
念ã®ãŸã‚ã€å…ƒã®å‹§å‘Šã‚’å†æŽ²ã—ã¾ã™ã€‚</p>

<blockquote>
<p>複数ã®è„†å¼±æ€§ãŒã€æš—å·åŒ–パッケージ OpenSSL ã«ã‚ã‚Šã€
犠牲者ã®ã‚³ãƒ³ãƒ”ュータ上ã§ã‚·ã‚¹ãƒ†ãƒ ãƒªã‚½ãƒ¼ã‚¹ã‚’使ã„æžœã—ãŸã‚Šã€
プロセスをクラッシュã•ã›ãŸã‚Šã™ã‚‹ã“ã¨ã§ã€æ”»æ’ƒè€…ãŒã‚µãƒ¼ãƒ“スä¸èƒ½
(DoS) 攻撃を引ãèµ·ã“ã™å¯èƒ½æ€§ãŒã‚ã‚‹ã“ã¨ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚</p>

<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2937";>CVE-2006-2937</a>

	<p>OpenSSL コアãƒãƒ¼ãƒ ãŠã‚ˆã³ Open Network Security ã® S N Henson
	ã•ã‚“ã¯ã€æœ€è¿‘ NISCC (www.niscc.gov.uk) å‘ã‘ã® ASN1 テストスイーツを開発ã—ã¾ã—ãŸã€‚
	ã“ã®ãƒ†ã‚¹ãƒˆã‚¹ã‚¤ãƒ¼ãƒ„ã‚’ OpenSSL ã«å¯¾ã—ã¦å®Ÿè¡Œã—ãŸã¨ã“ã‚ã€äºŒä»¶ã®ã‚µãƒ¼ãƒ“スä¸èƒ½
	(DoS) 攻撃脆弱性ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚</p>

	<p>特定ã®ä¸æ­£ãª ASN1 構造体ã®è§£æžã‚’ã™ã‚‹éš›ã«ã€ã‚¨ãƒ©ãƒ¼æ¡ä»¶ã®å‡¦ç†ãŒèª¤ã£ã¦ãŠã‚Šã€
	システムメモリを費やã—ç„¡é™ãƒ«ãƒ¼ãƒ—ã«é™¥ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚</p>

	<p>OpenSSL を使用ã—ã¦ã€ä¿¡ç”¨ã§ããªã„ソースã‹ã‚‰
	ASN1 データを解æžã™ã‚‹ã™ã¹ã¦ã®ã‚³ãƒ¼ãƒ‰ã«å½±éŸ¿ãŒã‚ã‚Šã¾ã™ã€‚
	ãã‚Œã«ã¯ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆèªè¨¼ã‚’有効ã«ã—㟠SSL サームや
	S/MIME アプリケーションãªã©ã‚’å«ã¿ã¾ã™ã€‚</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3738";>CVE-2006-3738</a>

	<p>Google Security Team ã® Tavis Ormandy ã•ã‚“ã€Will Drewry
	ã•ã‚“ã«ã‚ˆã‚Šã€exim ã‚„ mysql ã¨ã„ã£ãŸã„ãã¤ã‹ã®ã‚¢ãƒ—リケーションã§ä½¿ã‚れる
	SSL_get_shared_ciphers ユーティリティ関数ã«ãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ•ãƒ­ãƒ¼ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚
	攻撃者ãŒæš—å·ãƒªã‚¹ãƒˆã‚’é€ã‚‹ã“ã¨ã§ã€ãƒãƒƒãƒ•ã‚¡ã‚’オーãƒãƒ¼ãƒ©ãƒ³ã•ã›ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4343";>CVE-2006-4343</a>

	<p>Google Security Team ã® Tavis Ormandy ã•ã‚“ã€Will Drewry
	ã•ã‚“ã«ã‚ˆã‚Šã€sslv2 クライアントコードã«ã‚µãƒ¼ãƒ“スä¸èƒ½ (DoS)
	攻撃ã®å¯èƒ½æ€§ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚クライアントアプリケーションãŒ
	OpenSSL を用ã„ã¦æ‚ªæ„ã‚’æŒã£ãŸã‚µãƒ¼ãƒã« sslv2 コãƒã‚¯ã‚·ãƒ§ãƒ³ã‚’å¼µã‚ã†ã¨ã—ãŸå ´åˆã€
	サーãƒã‹ã‚‰ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã‚’クラッシュã•ã›ã‚‹ã“ã¨ãŒå¯èƒ½ã§ã™ã€‚</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2940";>CVE-2006-2940</a>

	<p>OpenSSL コアãƒãƒ¼ãƒ ãŠã‚ˆã³ Open Network Security ã® S N Henson
	ã•ã‚“ã¯ã€æœ€è¿‘ NISCC (www.niscc.gov.uk) å‘ã‘ã® ASN1 テストスイーツを開発ã—ã¾ã—ãŸã€‚
	ã“ã®ãƒ†ã‚¹ãƒˆã‚¹ã‚¤ãƒ¼ãƒ„ã‚’ OpenSSL ã«å¯¾ã—ã¦å®Ÿè¡Œã—ãŸã¨ã“ã‚ã€ã‚µãƒ¼ãƒ“スä¸èƒ½
	(DoS) 攻撃脆弱性ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚</p>

	<p>特定ã®ã‚¿ã‚¤ãƒ—ã®å…¬é–‹éµã¯ã€ä¸é‡£ã‚Šåˆã„ãªé‡ã®å‡¦ç†æ™‚é–“ãŒå¿…è¦ã«ãªã‚Šã¾ã™ã€‚
	ã“ã®å•é¡Œã‚’ã€æ”»æ’ƒè€…ãŒã‚µãƒ¼ãƒ“スä¸èƒ½ (DoS) 攻撃ã«æ‚ªç”¨ã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚</p></li>

</ul>
</blockquote>

<p>安定版ディストリビューション (stableã€ã‚³ãƒ¼ãƒ‰ãƒãƒ¼ãƒ  sarge)
ã§ã¯ã€ã“れらã®å•é¡Œã¯ãƒãƒ¼ã‚¸ãƒ§ãƒ³ 0.9.7e-3sarge4 ã§ä¿®æ­£ã•ã‚Œã¦ã„ã¾ã™ã€‚</p>

<p>ä¸å®‰å®šç‰ˆãŠã‚ˆã³ãƒ†ã‚¹ãƒˆç‰ˆãƒ‡ã‚£ã‚¹ãƒˆãƒªãƒ“ューション (sid ãŠã‚ˆã³ etch)
ã§ã¯ã€ã“れらã®å•é¡Œã¯ openssl097 互æ›ãƒ©ã‚¤ãƒ–ラリ㮠ãƒãƒ¼ã‚¸ãƒ§ãƒ³ 0.9.7k-3 ãŠã‚ˆã³
openssl パッケージã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ 0.9.8c-3 ã§ãã‚Œãžã‚Œä¿®æ­£ã•ã‚Œã¦ã„ã¾ã™ã€‚</p>

<p>openssl パッケージã®ã‚¢ãƒƒãƒ—グレードをãŠå‹§ã‚ã—ã¾ã™ã€‚ã¾ãŸã€OpenSSL
共有ライブラリã«ãƒªãƒ³ã‚¯ã—ã¦ã„るサービスã®å†èµ·å‹•ãŒå¿…è¦ãªã“ã¨ã«æ³¨æ„ã—ã¦ãã ã•ã„。
ãã®ã‚ˆã†ãªã‚µãƒ¼ãƒ“スã®ä¸€èˆ¬çš„ãªä¾‹ã¨ã—ã¦ã€ã»ã¨ã‚“ã©ã®ãƒ¡ãƒ¼ãƒ«è»¢é€ã‚¨ãƒ¼ã‚¸ã‚§ãƒ³ãƒˆ
(MTA)ã€SSH サーãƒãŠã‚ˆã³ Web サーãƒãªã©ãŒå«ã¾ã‚Œã¾ã™ã€‚</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2006/dsa-1185.data"